เปิดความเสียหายภัยการเงิน ธปท. งัดมาตรการ “เผาบัญชีม้า”

เปิดความเสียหายภัยการเงิน 4 หมื่นล้าน ธปท. งัดมาตรการ “เผาบัญชีม้า”

ธปท.ผนึก TB-CERT และ ตำรวจไซเบอร์ เดินหน้ามาตรการป้องกันภัยทางการเงิน-เร่งกวาดบัญชีม้า คาด 5 ปี ภัยไซเบอร์ขึ้นเป็นอันดับ 1 ของการทุจริต เปิดสถิติ 5 อันดับเรื่องแจ้งความออนไลน์ สร้างความเสียหายกว่า 4 หมื่นล้านบาท เตือนรับเปิดบัญชีม้า รับโทษจำคุก 3 ปี ปรับ 3 แสนบาท แนะผู้เสียหายเร่งแจ้งธนาคารภายใน 72 ชั่วโมงระงับบัญชีทันท่วงที

วันที่ 16 กรกฎาคม 2566 นายอนุภาค มาตรมูล ผู้ช่วยผู้อำนวยการฝ่ายการกำกับและตรวจสอบความเสี่ยงด้าน IT ธนาคารแห่งประเทศไทย (ธปท.) กล่าวในงานเสวนา “โครงการพัฒนาศักยภาพผู้สื่อข่าวเศรษฐกิจระดับสูง (พศส.) 2566 เปิดโลกนวัตกรรม ก้าวทันเทรนด์ การเงินยั่งยืน ในหัวข้อ “ความปลอดภัยของข้อมูลในโลกการเงิน ภัยการเงิน การหลอกลวงทางไซเบอร์ การทำคดีด้านการเงินของเจ้าหน้าที่ตำรวจ” ว่า เมื่อวันที่ 9 มีนาคม 66 ที่ผ่านมาธนาคารแห่งประเทศไทย (ธปท.) ได้ออกแนวมาตรการจัดการภัยทุจริตทางการเงิน

ธปท.กำชับแบงก์ยกระดับโมบายแบงกิ้ง

โดยเป็นมาตรการขั้นต่ำ เพื่อป้องกันภัยทางการเงิน ซึ่งที่ผ่านมามีความเสียหายเกิดจาก “แอปดูดเงิน” เป็นจำนวนมาก ทำให้มาตรการป้องกันจะทำเป็นระยะ ซึ่งระยะแรก หรือเวอร์ชั่นแรก จะเป็นการให้สถาบันการเงินหรือธนาคารพาณิชย์พัฒนาระบบการตรวจจับว่ามีการติดตั้งแอปพลิเคชั่นปลอมติดตั้งอยู่หรือไม่ และระยะที่ 2 คือ การป้องกันการแคปหน้าจอมือถือ ซึ่งมิจฉาชีพจะรู้ว่าเหยื่อทำอะไรอยู่บนหน้าจอ

และระยะที่ 3 คือ มาตรการยืนยันตัวตนด้วย Biometrics เพื่อเปิดบัญชีออนไลน์ และการเปลี่ยนวงเงิน-โอนเงิน โดยการสแกนใบหน้าเมื่อเข้าเงื่อนไขที่กำหนดไว้ในการทำธุรกรรมผ่าน Mobile Banking เช่น โอนเงินมากกว่า 50,000 บาทต่อครั้ง หรือ 200,000 บาทต่อวัน หรือปรับเพิ่มวงเงินทำธุรกรรมต่อวันเป็นตั้งแต่ 50,000 บาทขึ้นไป เพื่อป้องกันเกิดความเสียหายน้อยลง เมื่อถูกหลอกติดตั้งแอปฯ ดูดเงิน

“วิธีป้องกันประชาชนควรหมั่นอัปเดตแอปพลิเคชั่นเป็นเวอร์ชั่นล่าสุด และไม่กดลิงก์ที่แนบมากับข้อความ SMS หรือ อีเมล เนื่องจากธนาคารยกเลิกส่งลิงก์ทั้งหมดแล้ว”

ขณะเดียวภายหลังจากพระราชกำหนด (พ.ร.ก.) มาตรการป้องกันและปราบปรามอาชญากรรมทางเทคโนโลยี พ.ศ. 2566 มีผลบังคับใช้ 17 มี.ค.66 จะเห็นว่าสถาบันการเงินสามารถตรวจสอบและส่งข้อมูลเส้นทางการเงินให้กับเจ้าหน้าที่ตำรวจได้เร็วขึ้น เนื่องจากไม่ผิดกฎหมายข้อมูลส่วนบุคคล (PDPA) ทำให้จำนวนยอดอายัดบัญชีม้าเพิ่มขึ้นต่อเนื่อง โดยในเดือนมี.ค.66 อยู่ที่ 5,000 บัญชี เดือนเม.ย.66 อยู่ที่ 6,000 บัญชี เดือนพ.ค.66 อยู่ที่ 8,000 บัญชี และเดือนมิ.ย.66 อยู่ที่ 9,000 บัญชี

ชี้ผู้เสียหายเร่งแจ้งแบงก์ภายใน 72 ชั่วโมง

โดยนายยศ กิมสวัสดิ์ กรรมการ TB-CERT และประธานสำนักงานระบบการชำระเงิน สมาคมธนาคารไทย และกล่าวเสริมว่า ตอนนี้ธปท. สมาคมธนาคารไทย (TBA) TB-CERT และสำนักงานตำรวจแห่งชาติ และหน่วยงานที่เกี่ยวข้อง อยู่ระหว่างร่วมมือในการทำงานเชิงรุกมากขึ้นในการปิดบัญชีม้า เนื่องจากที่ผ่านมาเป็นการอายัดบัญชีอย่างเดียว แต่ระยะต่อไปจะมีการติดตามบัญชีที่มีความผิดปกติและต้องสงสัยจะเป็นบัญชีม้า โดยเรียกว่ามาตรการ “เผาบัญชีม้า” ซึ่งเป็นมาตรการเชิงรุกแบบถอดรากถอนโคน

อย่างไรก็ดี ในส่วนของผู้เสียหายที่ถูกหลอกลวงผ่าน “แอปดูดเงิน” หรือช่องทางอื่นให้มีการโอนเงินไปยังบัญชีอื่นนั้น ผู้เสียหายเมื่อรู้ตัวแล้วควรรีบโทรแจ้งธนาคารเป็นเจ้าของบัญชีผ่านสายด่วน Hotline และแจ้งตำรวจภายใน 72 ชั่วโมง เนื่องจากธนาคารจะมีสิทธิ์สามารถระงับบัญชีเพื่อให้ตำรวจสามารถตรวจสอบได้ 7 วัน เพื่อดำเนินการอายัดบัญชีต่อไป แต่กรณีหากไม่มีการแจ้งความภายใน 72 ชั่วโมง ธนาคารจะสามารถระงับการใช้บัญชีได้

ยอดอายัดบัญชีพุ่ง 15%

ด้านนายธีรวัฒน์ อัศวโภคี ประธานชมรมตรวจสอบและป้องกันการทุจริต สมาคมธนาคารไทย กล่าวว่า แนวโน้มการระงับบัญชีและการตรวจสอบธุรกรรมที่ต้องสงสัยทำได้ดีขึ้น โดยจำนวนการอายัดบัญชีเพิ่มขึ้นจาก 10% เป็น 15% ของมูลค่าความเสียหายทั้งหมด ภายหลังพ.ร.ก.มาตรการป้องกันฯ มีผลบังคับใช้

อย่างไรก็ตาม แม้ว่าแนวโน้มการติดตามธุรกรรมต้องสงสัยจนนำไปสู่การอายัดบัญชีทำได้ดีขึ้น แต่มองว่ายังดีไม่มากนัก เพราะการแลกเปลี่ยนข้อมูลยังทำได้ไม่รวดเร็วมากนัก จึงต้องมีการเพิ่มประสิทธิภาพและยกระดับระบบการแลกเปลี่ยนข้อมูลที่ดีขึ้น

“ธุรกรรมการทุจริตจะเห็นว่ามีวิวัฒนาการตามเทคโนโลยีและเปลี่ยนรูปแบบกลโกง ซึ่งที่ผ่านมาในช่วงปลายปี 64 เราจะเจอการทุจริต (Fraud) ในเรื่องของบัตรเครดิตและเดบิต หรือที่เราเรียกว่า Bill Attack ที่ใช้การสุ่มหมายเลขหลังบัตรเพื่อซื้อของออนไลน์โดยไม่ใช่รหัส OTP ทำให้ยอด Fraud ช่วงนั้นเพิ่มขึ้น 2 เท่า และหลังเรามีการทำมาตรการซื้อขายต้องมี OTP ทำให้ยอด Fraud ลดลง 3 เท่า ทำให้มิจฉาชีพหันมาหลอกลวงผ่านการส่งลิงก์ให้ติดตั้งแอปปลอม หรือเรียกแอปดูดเงินแทนผ่าน 3-4 ข้อ รัก โลภ กลัว หลง แทน”

คาด 5 ปี ภัยทางไซเบอร์พุ่งขึ้นอันดับ 1

พ.ต.อ.เจษฎา บุรินทร์สุชาติ ผู้กำกับการกลุ่มงานรักษาความมั่นคงปลอดภัยทางไซเบอร์ กองบัญชาการตำรวจสืบสวนสอบสวนอาชญากรรมทางเทคโนโลยี กล่าวว่า แนวโน้มภัยไซเบอร์มีอัตราการเติบโตแบบก้าวกระโดด และมีวิวัฒนาการไปตามเทคโนโลยี ซึ่งรูปแบบการหลอกลวงเริ่มตั้งแต่เงินสด โอนเงิน และไปสู่สกุลเงินคริปโตเคอเรนซี่ เป็นต้น ซึ่งมีการคาดการณ์ว่าภายใน 5 ปีข้างหน้า การทุจริตที่เกิดจากภัยไซเบอร์จะขึ้นเป็นอันดับ 1 ของโลก และทวีความรุนแรงขึ้น ซึ่งปัจจุบันต้องยอมรับว่าเทคโนโลยีที่มีความก้าวหน้ายังคงมีช่องโหว่ให้มืจฉาชีพ และการตรวจจับยังตามหลังมิจฉาชีพ

เปิดสถิติแจ้งความออนไลน์ 5 อันดับแรก

ทั้งนี้ หากดูข้อมูลสถิติการแจ้งความออนไลน์สะสมนับตั้งแต่วันที่ 1 มี.ค.65-28 มิ.ย.66 พบว่ามีคดีออนไลน์ทั้งสิ้น 285,917 คดี แบ่งเป็นคดีที่เชื่อมโยงกันทั้งสิ้น 145,322 คดี และคดีที่ไม่เชื่อมโยงกันอยู่ที่ 140,537 คดี ยอดมูลค่าความเสียหายอยู่ที่ราว 4 หมื่นล้านบาท

โดยหากดูประเภทคดีที่เกิดขึ้นมากที่สุดตั้งแต่ 17 มี.ค-28 มิ.ย.66 ใน 5 อันดับแรก คือ 1.คดีหลอกซื้อขายสินค้าและบริการ จำนวน 299 คดีต่อวัน มูลค่าความเสียหาย 4.3 ล้านบาทต่อวัน 2.คดีหลอกให้โอนเงินเพื่อทำงานหารายได้พิเศษ จำนวน 78 เรื่องต่อวัน มูลค่าความเสียหาย 9.8 ล้านบาทต่อวัน และ 3.คดีหลอกให้กู้เงิน จำนวน 65 เรื่องต่อวัน มูลค่าความเสียหาย 3 ล้านบาทต่อวัน

4.คดี Call Center จำนวน 36 คดีต่อวัน มูลค่าความเสียหาย 8.3 ล้านบาทต่อวัน และ 5.คดีหลอกให้ลงทุนผ่านระบบคอมพิวเตอร์ จำนวน 32 เรื่องต่อวัน มูลค่าความเสียหาย 16.5 ล้านบาทต่อวัน

ทั้งนี้ ภายหลังจากมีพ.ร.ก.มาตรการป้องกันฯ พบว่าแนวโน้มสถิติการแจ้งความออนไลน์ปรับลดลงจากอดีตเฉลี่ยอยู่ที่ 700-800 เรื่องต่อสัปดาห์ ปัจจุบันเฉลี่ยเหลือ 500-600 เรื่องต่อสัปดาห์ และคาดว่าในระยะข้างหน้าอาจจะปรับลดลงต่อเนื่อง โดยอยากเห็นลดลงมาอยู่ที่ราว 200 เรื่อง

เพิ่มโทษบัญชีม้า-เสริมมาตรการสกัดจับ

อย่างไรก็ดี แม้ว่าในส่วนของการอายัดบัญชีจะทำได้ดีขึ้นจาก 10% เป็น 15% แต่หากดูเม็ดเงินที่ตามเก็บและสามารถอายัดได้ยังคงมีสัดส่วนน้อยเพียง 1-2% ของมูลค่าความเสียหาย 4 หมื่นล้านบาท ดังนััน จึงต้องมีความร่วมมือแบบบูรณาการจากหน่วยงานอื่นๆ รวมถึงต้องทำมาตรการเชิงรุกเพิ่มเติม เช่น ที่ผ่านมาได้ดำเนินมาตรการที่เรียกว่า RS03 ซึ่งเป็นมาตรการแบบถอดรากถอดโคน โดยนำเลขบัตรประชาชนของผู้ที่เปิดบัญชีม้า เพื่อตรวจสอบว่ามีบัญชีที่ต้องสงสัยเป็นบัญชีม้าอีกหรือไม่ ซึ่งหลังจากดำเนินมาตรการพบว่าสามารถปิดบัญชีม้าเพิ่มเติมได้ถึง 20,000 บัญชีภายในระยพเวลา 2 เดือนที่ผ่านมา

“ก่อนกฎหมายพ.ร.ก.มาตรการป้องกันฯ ออกมาช่วงแรกอาจจะติดขัดบ้าง เพราะเราไม่สามารถอายัดบัญชีม้าได้ เพราะติดกฎหมาย PDPA ทำให้เราอายัดบัญชีไม่ทัน แต่หลังมีพ.ร.ก.และเปลี่ยนเป็นให้แบงก์เป็นผู้ตรวจสอบและส่งเรื่องมาที่ตำรวจ ทำให้เราสามารถอายัดบัญชีได้ดีขึ้น แต่ยังคงดีไม่พอ จะต้องมีมาตรการเพิ่มเติมก่อนจะเป็นบัญชีม้า คือ การตรวจสอบบัญชีผิดปกติและดำเนินการ รวมถึงการเพิ่มบทลงโทษ เช่น จำคุก 3 ปี และปรับไม่เกิน 3 แสนบาท ซึ่งจากเดิมบัญชีม้าจะขายขาด ต่อไปจะเป็นบัญชีม้าเลี้ยง โดยไม่ได้เปิดบัญชีอย่างเดียว แต่ทำธุรกรรมให้ด้วย ซึ่งกลุ่มจะได้รับโทษเช่นเดียวกับมิจฉาชีพเพราะถือว่าสมรู้ร่วมคิดกัน

รวมถึงอยู่ระหว่างศึกษาโมเดลของไต้หวันและมาเลเซีย สิงคโปร์ ที่จะมีหน่วยงานกลางมาดูเรื่องของการแชร์ข้อมูล เพื่อให้การแลกเปลี่ยนข้อมูลทำได้เร็วขึ้น เพื่อนำมาสู่การคืนเงินให้ผู้เสียหายได้เร็วและมีความชัดเจนยิ่งขึ้น”